Einleitung
Zielsetzung
grcproxy unterstützt Unternehmen beim strukturierten Aufbau und Betrieb eines integrierten Managementsystems für:
- Business Continuity Management (BCM)
- Informationssicherheitsmanagement (ISMS)
- IT-Service Continuity Management (ITSCM)
- IKT-Risikomanagement
Ziel ist es, fundierte Analysen effizient durchzuführen, regulatorische Anforderungen zu erfüllen und die unternehmensweite Transparenz über Prozesse, Ressourcen und Risiken zu erhöhen.
Regulatorischer Rahmen
grcproxy orientiert sich methodisch am BSI IT-Grundschutz (BSI-Standard 200-1, 200-2, 200-3) und unterstützt damit die Anforderungen folgender Regelwerke:
| Regelwerk | Relevanz |
|---|---|
| NIS2-Richtlinie (EU 2022/2555) | Art. 21: Risikoanalyse (lit. a), BCM (lit. c), Wirksamkeitsbewertung (lit. f), Asset Management (lit. i) |
| BSI-Standard 200-2 | IT-Grundschutz-Methodik, Grundlage des ISMS-Betriebs |
| BSI-Standard 200-3 | Risikomanagement im Informationsverbund |
| ISO 27001 | Internationaler ISMS-Standard |
| ISO 22301 | Business Continuity Management |
| DORA (EU 2022/2554) | IKT-Risikomanagement für Finanzinstitute (lex specialis zu NIS2) |
Das BSI bestätigt: Ein auf Standard-Schutz ausgelegter IT-Grundschutz-Informationsverbund erfüllt die wesentlichen technischen und organisatorischen Anforderungen der NIS2-Richtlinie.
Kerngedanke
Alle Analysen in grcproxy basieren auf einem einheitlichen Informationsverbund. Dieser enthält:
- Geschäftsprozesse als primäre Assets
- Ressourcen (z. B. IT, Infrastruktur, Personal) als unterstützende Assets
- Abhängigkeiten zwischen Prozessen und Ressourcen
Die Plattform führt alle Informationen in einer zentralen Datenbasis zusammen und ermöglicht Synergien durch geteilte Daten zwischen BIA, SBA, Strukturanalyse und Maßnahmenplanung.
Prinzipien der Plattform
- Modularer Aufbau: Surveys, Revisionen, Analysen und Berichte greifen systematisch ineinander.
- Wiederholbare Zyklen: Der gesamte Prozess folgt dem PDCA-Zyklus (Plan – Do – Check – Act).
- Rollenbasiert: Zugriffe und Zuständigkeiten werden über Rollen und Scopes definiert.
- Effizienter Einstieg: Vordefinierte Fragenkataloge, Importfunktionen und konfigurierbare Bewertungsdimensionen beschleunigen den Start.